阿帕奇:罗Sir说—合规 | 安全漏洞砸中, 阿里云再遭点名!_ING

|罗Sir说原创出品?|

2021年12月22日，工信部网络安全管理局通报称，阿里云计算有限公司发现阿帕奇Log4j2组件严重安全漏洞隐患后，未及时向电信主管部门报告，未有效支撑工信部开展网络安全威胁和漏洞管理。阿里云系工信部网络安全威胁信息共享平台合作单位，工信部网络安全管理局决定暂停阿里云作为上述合作单位6个月。暂停期满后，根据阿里云整改情况，研究恢复其上述合作单位。通报当天，阿里股价应声而降。

早在2021年12月17日，工信部网络安全管理局曾发布一则关于阿帕奇Log4j2组件重大安全漏洞的网络安全风险提示，指出2021年12月9日，工业和信息化部网络安全威胁和漏洞信息共享平台收到有关网络安全专业机构报告，阿帕奇Log4j2组件存在严重安全漏洞。近日，阿里云计算有限公司发现阿帕奇Log4j2组件存在远程代码执行漏洞，并将漏洞情况告知阿帕奇软件基金会。

CoinGecko新增Animal Racing代币版块:7月24日消息，加密数据分析网站CoinGecko新增Animal Racing代币版块，目前该板块包含HAMS、DBY、SLIME、ZEDRUN四种代币。截至发稿时，Animal Racing代币市值已突破1100万美元，24小时交易额超1400万美元。[2023/7/24 15:54:59]

什么是阿帕奇Log4j2组件漏洞？

阿帕奇Log4j2组件是基于Java语言的开源日志框架，被广泛用于业务系统开发。该组件存在的远程代码漏洞可能导致设备远程受控，进而引发敏感信息窃取、设备服务中断等严重危害，属于高危漏洞。

在收到阿帕奇Log4j2组件安全报告后，工业和信息化部已立即组织有关网络安全专业机构开展漏洞风险分析，召集阿里云、网络安全企业、网络安全专业机构等开展研判，通报督促阿帕奇软件基金会及时修补该漏洞，向行业单位进行风险预警。该漏洞可能导致设备远程受控，进而引发敏感信息窃取、设备服务中断等严重危害，属于高危漏洞。为降低网络安全风险，工业和信息化部提醒有关单位和公众密切关注阿帕奇Log4j2组件漏洞补丁发布，排查自有相关系统阿帕奇Log4j2组件使用情况，及时升级组件版本。

十六部门：加快数据安全技术与区块链等新兴技术的交叉融合创新:金色财经报道，工业和信息化部等十六部门发布关于促进数据安全产业发展的指导意见。其中指出，要布局新兴领域融合创新。加快数据安全技术与人工智能、大数据、区块链等新兴技术的交叉融合创新，赋能提升数据安全态势感知、风险研判等能力水平。加强第五代和第六代移动通信、工业互联网、物联网、车联网等领域的数据安全需求分析，推动专用数据安全技术产品创新研发、融合应用。支持数据安全产品云化改造，提升集约化、弹性化服务能力。[2023/1/13 11:11:02]

而且，由于阿帕奇Log4j2组件是开源代码，应用非常之广，此次安全漏洞不只关系到阿里云，还关系到所有使用Log4j2组件进行开发和应用的公司。

什么是CSTIS平台？

数据：Bitmex上的永续合约未平仓价值达到约7317.4万美元，创一个月新高:金色财经报道，数据显示，Bitmex上的永续合约未平仓价值刚刚达到73,174,056.71美元，创1个月新高。

此前2022年10月26日观察到的1个月高点为73,060,166.70美元。[2022/10/28 11:53:40]

工信部网络安全威胁和漏洞信息共享平台于2021年9月1日上线，是一个汇集、通报漏洞信息的共享平台，合作伙伴基本覆盖了基础电信企业、互联网企业、网络安全企业。中国电信、中国移动、阿里云、腾讯、京东、360、百度在内的31家企业都是该平台合作伙伴。

CSTIC平台建立的初衷顾名思义就是信息共享，及时得到漏洞通知。尤其是这种开源软件安全漏洞的传达是分秒必争的，如果安全漏洞在被发现之后先被攻击者知晓，就会造成不可挽回的损失。所以有必要建立共享平台，保证在漏洞被广泛揭晓之前，先给关键服务提供商修复的机会。

Fei Protocol创始人提议在黑客还款后，宣布了最新Tribe DAO 提案:8月20日消息，Fei Protocol创始人 Joey Santoro宣布了最新提案TIP-121，关于Tribe DAO 未来的提案，揭示了该公司补偿Fuze受害者的意图。还详细说明了资产赎回计划以及管理流动性和收益的协议控制价值(PCV)资产的分配。此前，Fei Protocol曾向黑客提供1000万美元的赏金，以归还价值8000万美元的资产，但黑客未对此作出回应。(Cointelegraph)[2022/8/21 12:37:53]

而阿里云被暂停合作6个月，对于国内最大的公有云服务商而言，失去了6个月第一时间共享安全信息的渠道，不仅是阿里云，对于其合作方也是不小的损失。据悉，阿里云今年才扭亏转赢，对于被寄予厚望的阿里云而言，暂停与CSTIS合作显然不是好消息。

报告：DEX交易额突破1万亿美元，Top5 DEX交易量占比达85%:7月6日消息，Chainalysis于近日发布最新Web3报告，要点如下，

1. 去中心化交易所交易额已超过1万亿美元；

2. 大约55%的交易额流向去中心化交易所；

3. NFT是新入场散户活动的重要组成部分。与NFT交互的钱包平均使用时间为10天，而DeFi为300天；

4. NFT也是增长最快的链上付费领域。以太坊NFT支付费用占比从一年前的5%上升到现在的25%；

5. 排名前五的DEX交易量占比高达85%；

6. 借贷平台也出现了同样的趋势。Aave和DeFi共同控制了通过借贷平台流动的约90%的资金；

7. 从借贷平台流出的所有资产的50%流入了交易所；

8. DeFi相关DAO平均AUM为1亿美元（60个DAO总AUM为60亿美元）；

9. Chainalysis追踪的DAO中，85%的财库资产都集中在单一资产中。对于处理稳定币的DAO来说，USDC比DAI更受欢迎；

10. 1万美元以下的交易占据NFT 90%以上的交易频率。在过去的一个季度里，大约有75万名NFT活跃买家和卖家。[2022/7/6 1:54:51]

阿里云为什么要被整改？

阿里云在发现漏洞后第一时间告知阿帕奇软件基金会从技术层面是完全没有问题，这也有利于漏洞修复，但是阿里云却没有第一时间告知CSTIS平台，违背了信息共享设立之目的，也违反了《网络产品安全漏洞管理规定》

安全规定第七条规定，网络产品提供者应当履行下列网络产品安全漏洞管理义务，确保其产品安全漏洞得到及时修补和合理发布，并指导支持产品用户采取防范措施：

发现或者获知所提供网络产品存在安全漏洞后，应当立即采取措施并组织对安全漏洞进行验证，评估安全漏洞的危害程度和影响范围；对属于其上游产品或者组件存在的安全漏洞，应当立即通知相关产品提供者。应当在2日内向工业和信息化部网络安全威胁和漏洞信息共享平台报送相关漏洞信息。报送内容应当包括存在网络产品安全漏洞的产品名称、型号、版本以及漏洞的技术特点、危害和影响范围等。应当及时组织对网络产品安全漏洞进行修补，对于需要产品用户采取软件、固件升级等措施的，应当及时将网络产品安全漏洞风险及修补方式告知可能受影响的产品用户，并提供必要的技术支持。

其中第款指出要在2日内向工业和信息化部网络安全威胁和漏洞信息共享平台报送相关漏洞信息，显然阿里云没有做到。

今天下午阿里云发布的情况说明也证实了这点。

在网络安全方面，我国起步较晚，2017年才出台《网络安全法》，以立法形式明确了服务商的安全报告义务。网络产品、服务发现其网络产品、服务存在安全缺陷、漏洞等风险时，应当立即采取补救措施，按照规定及时告知用户并向有关主管部门报告。

但《网络安全法》只是一部框架性的法律，如果要实施还需要更多配套法规与实施细则的支撑，于是工信部在2019年9月印发了《公共互联网网络安全威胁监测与处置办法》，也是在这时建立了网络安全威胁信息共享平台(https://www.cstis.cn/），负责统一汇集、存储、分析、通报、发布网络安全威胁信息，并有权通知存在漏洞、后门的网络服务和产品的提供者，由其采取整改措施，消除安全隐患。

2021年7月，工信部、部联合发布安全规定，将“及时向有关主管部门报告”细化为“应当在2日内向工业和信息化部网络安全威胁和漏洞信息共享平台报送相关漏洞信息”。而阿里云在2021年12月犯这种未及时报告的错误实属不应该。?

这也给各网络安全公司敲响了警钟。网络产品安全漏洞收集平台、网络产品提供者或网络运营者都应全面梳理自己角色对应的网络安全漏洞合规义务。相关行业都要构建有效的网络安全漏洞响应机制，如设立安全运营中心，或在网站、App设立专门页面接收漏洞报告。并在2日内向工信部报告。如果技术能力相对有限，可以与安全厂商合作建立企业的安全运营中心。企业内部的信息安全部门、IT部门、法务部门等应当共同制定漏洞规则，围绕接收、响应、处置的流程，草拟漏洞接收后的反馈文本，指定的漏洞报送的格式。

在此基础上，确保安全漏洞的接收日志留存期限不少于6个月，在草拟上述文本时可参考《网络安全漏洞管理规范》，谨防触碰网络安全红线。

罗Sir说

罗Sir说是全球区块链合规联盟官方自媒体，全球区块链合规联盟提供相关企业业务合规资质服务，欢迎通过邮箱service@gbcuf.com或微信与我们进行更详细的业务沟通。

来源：金色财经

标签：阿帕奇NFTDAOING阿帕奇币现在多少钱一枚PHUNK Vault (NFTX)GDAO币KingXChain

Filecoin热门资讯